August 2025 saw critical CVEs surface, including high-impact flaws in WinRAR and Microsoft SharePoint. This blog highlights the most urgent vulnerabilities, their potential business risks, and the patch actions security teams should prioritize to stay ahead of threats. The post Top CVEs & Vulnerabilities of August 2025- Risks, Impacts & Fixes appeared first on Strobes Security.| Strobes Security
beyond HHTP/2 Security| hugs4bugs
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)| CERT Polska
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)| CERT Polska
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)| CERT Polska
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).| CERT Polska
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).| cert.pl
This year at BSides Las Vegas, a panel discussing the CVE program and crisis occurred. I watched the panel discussion after the fact, since I did not attend. For full transparency, something MITRE …| Rants of a deranged squirrel.
W oprogramowaniu GIMP na systemy MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-8672).| CERT Polska
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).| cert.pl
sslh is a protocol demultiplexer that allows to provide different types of services on the same network port. During a routine review we identified two remote Denial-of-Service vulnerabilities and a number of non-security issues.| SUSE Security Team Blog
While most of the work in the Istio Product Security Working Group is done behind the scenes, we are listening to the community in setting expectations for security releases. We understand that it is difficult for mesh administrators, operators and vendors to be aware of security bulletins and security releases. We currently disclose vulnerabilities and security releases via numerous channels: istio.io via our Release Announcements and Security Bulletins Discuss announcements channel on Slack...| Istio Blog
Installée sur une ancienne décharge, la centrale de 2,7 MW associe production photovoltaïque, gouvernance citoyenne, publique et privée et sensibilisation des plus jeunes grâce à un sentier éducatif co-créé avec les écoliers.| pv magazine France
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).| CERT Polska
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).| cert.pl
LEV erklärt: Neue NIST-Metrik zur Priorisierung von Schwachstellen mit EPSS und KEV für mehr Sicherheit.| Greenbone
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu| cert.pl
この記事ではCWE(Common Weakness Enumeration)について解説します。脆弱性情報が「CVE-2024-XXXX」みたいな形で出てきた時に、重大性を表すCVSSと共に「脆弱性の種類(CWE-XX)」として出てくる、アレの説明です。| 熱血!ヒートウェー部
2023年11月にリリースされた CVSS v4.0も、徐々に幾つかのベンダーがCVSS v4.0での情報提供を始めています。この記事では、CVSS v4.0を構成する4つのMetric Groupなどを中心に解説しています。| 熱血!ヒートウェー部
CPE(Common Platform Enumeration)は、システムを構成するハードウェア/ソフトウェアなどを識別するためのユニークなIDです。以前はMITREで管理されていましたが、現在はNISTに移管されています。ここではCPEについて解説します。| 熱血!ヒートウェー部
この記事ではCVSSについて解説します。昨年秋にCVSS v4.0が出ておりバージョン改訂も(数年に一回ほど)されていますので、本記事ではCVSS v3.1をベースとした一般的な話に留め、v4.0に関する詳しい説明は別の記事とさせていただきます。| 熱血!ヒートウェー部
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).| cert.pl
DjVuLibre has a vulnerability that could enable an attacker to gain code execution on a Linux Desktop system when the user tries to open a crafted document.| The GitHub Blog
Explore the top 5 high-risk CVEs of June 2025. Remote code execution, privilege escalation, and patch guidance, prioritize what truly matters.| Strobes Security
Several critical vulnerabilities discovered in Xorcom CompletePBX 5.2.35, including authenticated file disclosure, remote command execution as root, file deletion, and reflected XSS. This write-up details the black-box methodology, PoCs, and patch timeline.| Chocapikk's Cybersecurity Blog 🛡️
Use these insights to automate software security (where possible) to keep your projects safe.| The GitHub Blog
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).| CERT Polska
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).| CERT Polska
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).| CERT Polska
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)| CERT Polska
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).| CERT Polska
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).| CERT Polska
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).| CERT Polska
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).| CERT Polska
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).| CERT Polska
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).| CERT Polska
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).| CERT Polska
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.| CERT Polska
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).| CERT Polska
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).| CERT Polska
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).| CERT Polska
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).| CERT Polska
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).| CERT Polska
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).| CERT Polska
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).| CERT Polska
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.| CERT Polska
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.| CERT Polska
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).| CERT Polska
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.| CERT Polska
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).| CERT Polska
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).| CERT Polska
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).| CERT Polska
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).| CERT Polska
W aplikacji com.transsion.agingfunction instalowanej na urządzeniach Infinix Mobile wykryto podatność umożliwiającą nieautoryzowane przywrócenie urządzenia do ustawień fabrycznych (CVE-2024-10576).| CERT Polska
W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).| CERT Polska
W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).| CERT Polska
W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).| CERT Polska
W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.| CERT Polska
W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).| CERT Polska
W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).| CERT Polska
W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.| CERT Polska
W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).| CERT Polska
W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).| CERT Polska
CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.| CERT Polska
W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.| CERT Polska
W ramach badań własnych CERT Polska znalazł 2 podatności (CVE-2024-3798 oraz CVE-2024-3799) w otwartoźródłowym projekcie Phoniebox.| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6527.| CERT Polska
W oprogramowaniu urządzeń firmy Longse Technology wykryto 4 podatności (od CVE-2024-5631 do CVE-2024-5634).| CERT Polska
W oprogramowaniu Edito CMS wykryto podatność CVE-2024-4836 pozwalającą na pobieranie plików konfiguracyjnych.| CERT Polska
W oprogramowaniu SOWA OPAC wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-6050.| CERT Polska
W oprogramowaniu Concept Intermedia S@M CMS wykryto 3 podatności różnego typu (CVE-2024-3800, CVE-2024-3801 oraz CVE-2024-3816).| CERT Polska
We wtyczce AdmirorFrames do platformy Joomla! wykryto 3 podatności różnego typu i nadano im identyfikatory CVE-2024-5735, CVE-2024-5736 i CVE-2024-5737.| CERT Polska
W oprogramowaniu CRUDDIY wykryto podatność typu OS Command Injection (CVE-2024-4748).| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6160.| CERT Polska
W oprogramowaniu 2ClickPortal wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-5961.| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 krytyczne podatności różnego typu i nadano im identyfikatory CVE-2024-1576, CVE-2024-1577 oraz CVE-2024-1659.| CERT Polska
W oprogramowaniach Eurosoft Przychodnia, drEryk Gabinet i SimpleCare wykryto podatności polegające na stosowaniu tego samego, zakodowanego na stałe, hasła do bazy danych. Podatnościom przypisano identyfikatory CVE-2024-1228, CVE-2024-3699 i CVE-2024-3700.| CERT Polska
W oprogramowaniu Online Shopping System Advanced wykryto podatność typu Reflected XSS (CVE-2024-3579).| CERT Polska
W oprogramowaniu Ant Media Server (Community Edition) wykryto podatność typu Incorrect Authorization (CVE-2024-3462).| CERT Polska
W oprogramowaniu CemiPark wykryto 3 podatności różnego typu (od CVE-2024-4423 do CVE-2024-4425).| CERT Polska
W oprogramowaniu Kioware for Windows wykryto 3 podatności różnego typu (CVE-2024-3459, CVE-2024-3460 oraz CVE-2024-3461).| CERT Polska
W oprogramowaniu CraftBeerPi 4 wykryto podatność typu Improper Input Validation (CVE-2024-3955).| CERT Polska
We wtyczce Apaczka do platformy PrestaShop wykryto podatność typu Files or Directories Accessible to External Parties (CVE-2024-2759).| CERT Polska
W oprogramowaniu CDeX wykryto 3 podatności różnego typu (od CVE-2024-2463 do CVE-2024-2465).| CERT Polska
W oprogramowaniu PrestaShop Google Integrator firmy PrestaShow wykryto podatność typu SQL injection (CVE-2023-6921).| cert.pl
Damit Schwachstellen und Sicherheitslücken geschlossen werden können, ist es zuallererst wichtig, diese eindeutig benennen zu können. Cybersecurity-Expert*innen nutzen dafür die CVE-Datenbank, welche von US-amerikanischen Behörden betrieben wird. Am Beispiel der von MITRE betriebenen CVE-Datenbank (Common Vulnerabilities and Exposures, https://cve.mitre.org/), deren staatliche Finanzierung durch die USA kurzfristig gefährdet war, wird deutlich, warum echte europäische Lösungen für [...| AG KRITIS
11 Ways Cybercriminals are Making Phishing More Potent Than Ever Article Link: https://www.csoonline.com/article/3850783/11-ways-cybercriminals-are-making-phishing-more-potent-than-ever.html Infosec Pro Troy Hunt HasBeenPwned in Mailchimp Phish Article Link: https://www.theregister.com/2025/03/25/troy_hunt_mailchimp_phish/ How CASB Security Protects Your School District Article Link: https://securityboulevard.com/2025/03/how-casb-security-protects-your-school-district/ TechRepublic Exclusive:...| Project Hyphae
SAP NetWeaver vulnerability CVE-2025-31324 is a vulnerability that may lead to server hijacking and RCE via unrestricted file uploads.| CIP Blog
CVE-2025-31324: Pre-Auth RCE in SAP NetWeaver Visual Composer – Full Exploit Walk-Through & Defense Guide CVE-2025-31324 is a CVSS 10.0 remote-code-execution flaw in the Visual Composer Metadata component of SAP NetWeaver AS Java 7.00 → 7.50. Unauthenticated attackers can upload arbitrary ZIP/WAR archives, drop a web-shell, and run commands as <SID>adm (often mapped to SYSTEM). […] The post CVE-2025-31324: Pre-Auth RCE in SAP NetWeaver Visual Composer – Full Exploit Walk-Through & Def...| ZeroDay Labs
Yesterday, Matt Hartman, CISA Acting Executive Assistant Director for Cybersecurity, issued a statement on the CVE program. Trying to summarize the last several days and what happened is tricky, but you can read my LinkedIn posts as well as countless news articles and folks talking about. The super tl;dr is that on April 15, a […]| Rants of a deranged squirrel.
Greenbone erkennt Schwachstellen zuverlässig – auch ohne angereicherte NVD-Daten dank robuster Scan-Technologie.| Greenbone
As a pentester you are sometimes thrown into projects where you have no idea where you are going to end up. This project was one of those where you were given a customer laptop and the aim was to “find something interesting”, perhaps a misconfiguration on the customer side. The problem was that the laptop provided was being treated as a thin client, where the laptop is mainly used to access a remote desktop and use the browser with no additional software installed.| blog.compass-security.com
this is a totally work of fiction not inspired by any events that happened today or anytime or by any people. In the bleak January of 2035, Huda Ziade stared at her terminal, the blue light casting…| Tara Tarakiyee - Techverständiger
A critical resource that cybersecurity professionals worldwide rely on to identify, mitigate and fix security vulnerabilities in software and hardware is in danger of breaking down. The federally funded, non-profit research and development organization MITRE warned today that its contract…| krebsonsecurity.com